211service.com
Facebook-privacy gecompromitteerd door verhullende aanvallen
De statistieken zijn onthutsend. Facebook heeft zo'n 750 miljoen gebruikers, van wie de helft dagelijks inlogt. De gemiddelde gebruiker heeft 130 vrienden en besteedt ongeveer 60 minuten per dag aan het knutselen op het netwerk.
Het is geen geheim dat Facebook behoorlijk wat controverses over privacy heeft gehad en als gevolg daarvan is het netwerk in zijn zeven korte bestaan vele malen gedwongen zijn privacy-instelling te wijzigen.
Die controverse zal voortduren. Vandaag zeggen Shah Mahmood en Yvo Desmedt van University College London dat ze een maas in de privacy-instellingen van Facebook hebben gevonden, waardoor Facebook-gebruikers voortdurend kunnen worden gestalkt op een manier die moeilijk te herkennen en bijna onmogelijk te stoppen is.
De fout ontstaat omdat Facebook gebruikers toestaat hun accounts op een onbeperkte en onbeperkte manier te deactiveren en opnieuw te activeren. Zolang een account is gedeactiveerd, kunnen de privacy-instellingen die aan dat account zijn gekoppeld niet worden gewijzigd.
Dus als je iemand bevriend raakt zodat ze je inhoud kunnen zien en ze vervolgens hun account deactiveren, kun je de privacy-instellingen die aan dat account zijn gekoppeld niet wijzigen totdat het opnieuw wordt geactiveerd (tenzij je een algemene wijziging toepast op al je vrienden).
Bij de aanval van Mahmood en Desmedt wordt mensen gevraagd om vrienden met ze te worden en vervolgens hun account te deactiveren. Vervolgens reactiveren ze voor korte tijd, controleren de inhoud van hun vrienden en deactiveren het account onmiddellijk weer.
Het concept hier lijkt erg op dat van verhullen in Star Trek, waar Badass Blink of Jem'Hadar zich moet onthullen (zichtbaar zijn), al is het maar voor een moment, om het vuur te openen, zeggen ze.
De enige manier om dit te stoppen is om online te zijn op hetzelfde moment dat de snooper opnieuw wordt geactiveerd en om de privacy-instellingen op dat moment te wijzigen of om de privacy-instellingen van al uw vrienden of de groep vrienden waarin de aanvaller zich bevindt te wijzigen.
Mahmood en Desmedt testten dit soort verhullingsaanvallen gedurende een periode van 600 dagen met behulp van een onder een pseudoniem opgezet Facebook-account. Tijdens de eerste 285 dagen stuurden ze 595 vriendschapsverzoeken, waarvan er 370 werden geaccepteerd. Ze ontvingen ook 3969 vriendschapsverzoeken die ze accepteerden, waardoor ze in totaal meer dan 4000 vrienden kregen.
Vervolgens gingen ze naar de cloaking-modus door hun account te deactiveren en regelmatig bij hun vrienden te kijken door slechts 10 minuten te reactiveren, wat lang genoeg is om honderden profielen te crawlen en elke activiteit bij te houden. Geen van onze vrienden had ons technisch kunnen ontvrienden tijdens deze fase, zeggen ze.
Ten slotte hebben ze het account opnieuw geactiveerd en 60 dagen inactief gelaten om te zien hoeveel mensen ze ontvrienden. In die tijd ontvrienden 239 mensen, iets meer dan 5 procent van het totaal.
Er zijn verschillende redenen om aan te nemen dat dit een potentieel ernstige vorm van aanval is. Verhulde aanvallen zijn moeilijk te herkennen en nog moeilijker te stoppen. Bovendien kan een vastberaden aanvaller niet alleen individuen volgen, maar ook de onderlinge verbanden, waardoor waardevolle inzichten worden verkregen in de relatie tussen slachtoffers. Facebook heeft onlangs de functie 'Bladeren vriendschap' toegevoegd, die informatie onthult zoals de datum waarop ze Facebook-vrienden zijn geworden, de evenementen die ze allebei hebben bijgewoond, hun wederzijdse vrienden, enzovoort.
Als de aanvaller eenmaal een vriend van het slachtoffer is, is het zeer waarschijnlijk dat de aanvaller op een verhulde manier onbeperkte toegang heeft tot de privé-informatie van het slachtoffer, zeggen Mahmood en Desmedt. ,
Dat gezegd hebbende, zeggen Mahmood en Desmedt dat het probleem relatief eenvoudig op te lossen moet zijn. Facebook kan u bijvoorbeeld vertellen wanneer een vriend is gedeactiveerd en bijhouden welke mensen regelmatig deactiveren en opnieuw activeren. Het bedrijf zou het ook mogelijk kunnen maken om de privacy-instellingen van gedeactiveerde vrienden te wijzigen.
De enige vraag is hoe snel Facebook zal reageren op deze dreiging en daarmee zal toevoegen aan de groeiende catalogus van veranderingen die het heeft moeten doorvoeren in zijn privacyfuncties.
Referentie: arxiv.org/abs/1203.4043 : Uw Facebook gedeactiveerde vriend of een verhulde spion
Update: 23 maart 2012
Facebook stuurt de volgende verklaring via een pr-bureau:
Eerder deze week beschreef een team van beveiligingsonderzoekers een theoretische fout in onze gebruikersinterface; gebruikers waren voorheen niet in staat om gedeactiveerde accounts te ontvrienden. We hebben dit probleem snel opgelost en waren in staat om binnen 48 uur na ontvangst van deze rapporten een wijziging in onze gebruikersinterface door te voeren.
Hoewel we al het werk waarderen dat is gedaan om Facebook veilig te houden, hebben we verschillende legitieme zorgen over dit onderzoek door het University College London. We waren teleurgesteld dat dit niet aan ons is bekendgemaakt via ons Responsible Disclosure Policy en in strijd met onze voorwaarden is gedaan. We moedigen de hele beveiligingsgemeenschap aan om gebruik te maken van ons White Hat-programma, dat onderzoekstools en kanalen voor het melden van bugs biedt. Bovendien moedigen we mensen, zoals altijd, aan om alleen contact te leggen met mensen die ze echt kennen en om verdacht gedrag te melden dat ze op de site waarnemen.